«Модель угроз изменилась»: эксперт об ужесточении наказания за утечку данных россиян

Глава аналитической компании "Крибрум" и член Совета при президенте России по развитию гражданского общества и правам человека Игорь Ашманов прокомментировал инициативу по усилению ответственности за утечки персональных данных россиян. Специалист отметил, что в последнее время модель угроз изменилась: огромное количество киберпреступников переориентировалось с мошенничества и хищения средств на причинение вреда и терроризм.

За прошедший год стало в два раза больше утечек персональных данных, чем за предыдущий. Утекли десятки миллионов записей персональных данных наших граждан. И если раньше эти утечки использовались в основном мошенниками для незаконного обогащения, то сейчас модель угроз изменилась, потому что огромное количество киберпреступников переориентировалось на причинение вреда, на терроризм. За такие атаки, за кражу информации, за приставания к тем, чьи данные были получены, им платят ВСУ, американцы или еще кто-то. То есть сейчас основная мотивация киберпреступлений - это терроризм и вредительство, а не заработок. И в этом смысле утечки стали более опасными.

Игорь Ашманов
Игорь Ашманов Президент аналитической компании "Крибрум", член Совета при президенте России по развитию гражданского общества и правам человека

В качестве примера подобного инцидента специалист рассказал об утечке данных в сервисе "Яндекс.Еда" весной 2022 года, когда в сеть утекла информация о более чем 6 млн пользователях.

"Это были персональные данные тех, кто заказывал еду через этот сервис. И утечка сопровождалась комментарием того, кто слил эти данные. Он предлагал попробовать вычислить по утекшим данным сотрудников спецслужб, контрактников и так далее, а потом навредить им - запугать, "наехать" на их семьи и так далее. То есть это террористическая мотивация", — сказал собеседник Рамблера.

Ашманов отметил, что ранее все инициативы по ужесточению наказания были связаны с оборотными штрафами, однако "в условиях информационной войны экономическая мотивация просто не работает".

"Хищение данных зачастую осуществляют сами сотрудники компаний, которым во многом наплевать на эти компании. Потому что если сотрудник продает данные фирмы и получает за это деньги, то потом он может просто уволиться - и наплевать на компанию. Кроме того, во многих случаях сотрудники компаний спрашивают у своих юристов о рисках судебного преследования из-за утечки данных и вместе с тем оценивают стоимость процедур по повышению безопасности, после чего говорят: "Риск преемлемый, включим потенциальные штрафы в расходы, если оштрафуют - спишем средства и все". То есть сотрудников оборотные штрафы не беспокоят", — заявил специалист.

Утечка - это только начало незаконного оборота данных, подчеркнул Ашманов.

"Дальше их продают, перепродают, используют для всяких нехороших дел. И за оборот персональных данных, полученных незаконным путем, никто не наказывается. А наказывать нужно именно за это, наказывать, на мой взгляд, уголовным преследованием. Потому что если никого персонально не наказывать за халатность - ни сисадминов, ни их начальство, то воровство данных и их незаконный оборот не прекратятся", — сказал аналитик.

Ранее "Известия" сообщили о подготовке Советом по правам человека при президенте России инициативы по усилению ответственности за утечки персональных данных. В первых числах февраля их обсудят с законодателями, профильными ведомствами и бизнесом. СПЧ будет отстаивать позицию, связанную с введением уголовной ответственности по подобным фактам, заявил член совета Кирилл Кабанов. Он полагает, что ответственность за утечку персональных данных должна быть сопоставима с нанесенным ущербом и может доходить до реальных сроков заключения в пять-шесть лет.